CVE-2020-10663: JSON 中不安全的对象创建漏洞（额外修复）

由 mame 发布于 2020 年 3 月 19 日

Ruby 中捆绑的 json gem 存在不安全的 JSON 对象创建漏洞。该漏洞已被分配 CVE 标识符 CVE-2020-10663。我们强烈建议升级 json gem。

详情

在解析某些 JSON 文档时，json 库（包括 Ruby 自带的）可能会被诱导在目标系统中创建任意对象。

这是与 CVE-2013-0269 相同的问题。先前的修复不完整，它解决了 JSON.parse(user_input)，但未解决其他一些 JSON 解析方式，包括 JSON(user_input) 和 JSON.parse(user_input, nil)。

请参阅 CVE-2013-0269 详细信息。请注意，该问题曾可通过创建许多无法垃圾回收的 Symbol 对象来导致拒绝服务，但此类攻击已不再有效，因为 Symbol 对象现在可以被垃圾回收。然而，创建任意对象可能会根据应用程序代码导致严重的安全后果。

请将 json 库更新到 2.3.0 或更高版本。您可以使用 gem update json 来更新它。如果您使用的是 bundler，请将 gem "json", ">= 2.3.0" 添加到您的 Gemfile 中。

受影响的版本

• JSON 库 2.2.0 或更早版本

致谢

感谢 Jeremy Evans 发现此问题。

历史

• 最初发布于 2020-03-19 13:00:00 (UTC)